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Sicherheitsmodul und Verfahren zur Sicherung der Postregister vor 

Manipulation 



Beschreibung 

Die Erfindung betrifft ein Sicherheitsmodul mit Sicherung der Postregister 
vor Manipulation, gemali der im Oberbegriff des Anspruchs 1 
angegebenen Art und fur ein Verfahren zur Sicherung der Postregister vor 
Manipulation gemafl der im Oberbegriff des Anspruchs 10 angegebenen 
Art. Ein solcher postalischer Sicherheitsmodul ist insbesondere fur den 
Einsatz in einer Frankiermaschine bzw. Postbearbeitungsmaschine oder 
Computer mit Postbearbeitungsfunktion geeignet. 

Es sind vielfaltige Sicherungsmafinahmen zum Schutz gegen Ausfalle 
bzw. Storungen von intelligenten elektronischen Systemen bekannt. 

Es ist bereits aus EP 417 447 B1 bekannt, in elektronischen Datenver- 
arbeitungsanlagen besondere Module einzusetzen und mit Mitteln zum 
Schutz vor einem Einbruch in ihre Elektronik auszustatten. Solche Module 
werden nachfolgend Sicherheitsmodule genannt. 



Moderne Frankiermaschinen, oder andere Einrichtungen zum Frankieren 
von Postgut, sind mit einem Drucker zum Drucken des Postwertstempels 
auf das Postgut, mit einer Steuerung zum Steuern des Druckens und der 
peripheren Komponenten der Frankiermaschine, mit einer Abrechenein- 
heit zum Abrechnen von Postgebuhren, die in nichtfliichtigen Speichern 
gehalten werden, und einer Einheit zum kryptografischen Absichern der 
Postgebuhrendaten ausgestattet. Ein Sicherheitsmodul (EP 789 333 A2) 
kann eine Hardware-Abrecheneinheit und/oder die Einheit zum Absichern 
des Druckens der Postgebuhrendaten aufweisen. Beispielsweise kann 
ersterer als Anwenderschaltkreis ASIC und letzterer als OTP-Prozessor 
(One Time Programmable) realisiert werden. Der interne OTP-ROM 
speichert auslesesicher sensible Daten (kryptografische Schliissel). die 
beispielsweise zum Nachladen eines Guthabens erforderlich sind. Eine 
Kapselung durch ein Sicherheitsgehause bietet einen weiteren Schutz. 

Weitere Malinahmen zum Schutz eines Sicherheitsmoduls vor einem An- 
griff auf die in ihm gespeicherten Daten wurden auch in den nicht vorver- 
offentlichten deutschen Anmeldungen 198 16 572.2 8 mit dem Titel: An- 
ordnung fur ein Sicherheitsmodul und 198 16 571.4 mit dem Titel: Anord- 
nung fur den Zugriffsschutz fur Sicherheitsmodule, sowie 199 12 780. 8 
mit dem Titel: Anordnung fur ein Sicherheitsmodul, 199 12 781.6 mit dem 
Titel: Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur 
Durchfuhrung des Verfahrens und die deutsche Gebrauchsmusteranmel- 
dung 299 05 219.2 mit dem Titel: Sicherheitsmodul mit Statussignalisie- 
rung vorgeschlagen. Ein steckbares Sicherheitsmodul kann in seinem 
Lebenszyklus verschiedene Zustande einnehmen. Es kann nun unter- 
schieden werden, ob das Sicherheitsmodul funktioniert oder defekt ist. 
Dabei wird auf die Nichtmanipulierbarkeit der hardwaremaftigen Abrech- 
nung vertraut, ohne dies noch einmal zu kontrollieren. Jede andere soft- 
waregesteuerte Arbeitsweise gilt nur mit den Orginalprogrammen als feh- 
lerfrei, welche deshalb vor einer Manipulation geschiitzt werden mussen. 

Bekanntlich wird in Frankiermaschinen, beispielsweise vom Typ T1000, 
ein MAC (MESSAGE AUTHENTIFI CATION CODE) zur Absicherung der 



Postregisterdaten eingesetzt (EP 762 338 A2, US 5,805,711). Auf diese 
Weise kann auch der Mikroprozessor des Sicherheitsmoduls vor einer 
Abrechnung die Gultigkeit (Manipulationsfreiheit) der Postregister uber- 
prufen. Der Mikroprozessor berechnet einen MAC uber die Daten in den 
Postregistern und vergleicht diesen MAC mit einem Vergleichs-MAC der 
fur diese Postregister bereits friiher gespeichert worden ist. Anschliefiend 
erfolgt eine Abrechnung. Danach mud der Mikroprozessor erneut den 
Vergleichs-MAC fur die vom Anwenderschaltkreis ASIC modifizierten 
Postregister berechnen, um ihn zu aktualisieren. In dieser Zeit, vom Start 
der Abrechnung bis zum Schreiben des neuen Vergleichs-MAC, sind 
jedoch fur einen Betruger mit Speicherzugriff die Postregister manipulier- 
bar, ohne dali dies durch den Mikroprozessor erkannt werden kann. 

Der Erfindung liegt die Aufgabe zugrunde, fur ein Sicherheitsmodul die 
Sicherheit bei der Abrechnung zu erhohen. 

Es soli ein Verfahren gefunden werden, welches mit minimalen Aufwan- 
den eine maximale Sicherheit vor einer Manipulation der gespeicherten 
Daten ermoglicht. Das Verfahren soil beispielsweise in Frankier- 
maschinen Anwendung finden, fur die besondere Sicherheitsforderungen 
bezuglich der Postregisterdaten gelten, da insbesondere die geldwerten 
Abrechnungsdaten unmanipulierbar sein mussen. 

Die Aufgabe wird mit den Merkmalen des Anspruchs 1 fur eine Anordnung 
und mit den Merkmalen des Anspruchs 10 fur ein Verfahren gelost. 

Eine Losung des Problems wurde in der Durchfuhrung von zwei zeitlich 
versetzten Abrechnungen durch unterschiedliche Rechner gefunden. 

Voraussetzung fur eine Vorausberechnung eines Postregistersatzes ist 
ein schon zu Beginn vorliegender Authorisierungscode (MAC aU ), der die 
Gultigkeit eines vorherigen Postregistersatzes und damit der vorherigen 
Abrechnungsdaten in an sich bekannter Weise zu uberpriifen gestattet. 
Bei deren Gultigkeit wird von dem ersten Rech-ner eine Vorausberech- 
nung eines zugehorigen Authorisierungscode (MAC neu ) uber den 
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vorausberechneten Postregistersatz vorgenommen. Vorzugsweise wird 
hierzu ein Mikroprozessor eines Sicherheitsmoduls eingesetzt, welcher 
nachfolgend als Modulcomputer bezeichnet wird. Wenn der Modul- 
computer, beispielsweise vor Beginn der Vorausabrechnung, den alten 
5 Postregistersatz durch Berechnung eines MAC's und durch den Vergleich 
dieses MAC's mit dem gespeicherten MAC alt uberpruft hat, berechnet er 
im sicheren Speicherbereich den fur die nachste Abrechnung zu- 
gehorigen neuen Authorisierungscode MAC neu im voraus, bevor die 
Hauptabrechung angestolien wird, die ein zweiten Rechner durchfuhrt 
10 Vorzugsweise wird hierzu eine anwenderspezifische Verarbeitungseinheit 
ASIC des Sicherheitsmoduls eingesetzt, welches eine Hardware- 
^ abrechnungsbaugruppe aufweist und die Abrechnungsdaten in die 

\ Postregister einschreibt. Zum Absch.u* der Hauptabrechnung speichert 

der Modulcomputer nun noch den vorab berechneten MAC neu als 
15 aktuellen gultigen MAC zu dem Postregistersatz mit den aktuellen 
Abrechnungsdaten. Der Unterschied liegt also: 
1 • im Zeitpunkt der MAC-Berechnung vor der Hauptabrechnung, 
2. in der Quelle der MAC-Berechnung, weil dazu vom Modulcomputer zu- 
erst die Postregisterabrechnungsdaten fur den MAC neu vorausbe- 
20 rechnet werden mussen. 

^ Wenn die nachste Abrechnung erfolgt, wird das o.g. Verfahren wiederholt. 

Mit dem erfindungsgemaften Verfahren kann durch das Prtifen der MAC's 
nun auch eine wahrend der Abrechnung vorgenommene Manipulation 
25 festgestellt werden. Da die Quellen fur die MAC-Berechnung der beiden 
Vergleichswerte unterschiedlich sind, mussen die zu vergleichenden 
MAC's identisch sind. Unter der Annahme, dali bei der Abrechnung 
durch das ASIC kein Fehler auftritt, kann es sich nur urn eine Manipulation 
handeln. wenn die MAC's nicht ubereinstimmen. 

30 

Ein weiterer Vorteil dieser Methode ist der, da* beim Einschalten 
(PowerOn) zwei MAC's existieren. 
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Figur 2, Blockschaltbild des Sicherheitsmoduls, 
Figur 3, Seitenansicht des Sicherheitsmoduls, 
Figur 4, Draufsicht auf das Sicherheitsmodul, 
Figur 5, Tabelle fur Statussignalisierung, 

Figur 6, Darstellung der Prufungen im System fur statische und dyna- 
misch anderbare Zustande, 

Figur 7, Darstellung von Ablaufen bei der Abrechnung anhand eines 
Zeitstrahles, 

Figur 8, Flufldiagramm fur die Prufungen des Systems vor dem 
Frankieren. 

In der Figur 1 ist eine perspektivische Ansicht der Frankiermaschine von 
hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und 
einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70 
ausgestattet, die hinter der Fuhrungsplatte 20 angeordnet und von der 
Gehauseoberkante 22 zuganglich ist. Nach dem Einschalten der Frankier- 
maschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach 
unten in den Einsteckschlitz 72 eingesteckt. Ein zugefuhrter auf der Kante 
stehender Brief 3, der mit seiner zu bedruckenden Oberflache an der 
Fuhrungsplatte anliegt, wird dann entsprechend der Eingabedaten mit 
einem Frankierstempel 31 bedruckt. Die Briefzufuhroffnung wird durch 
eine Klarsichtplatte 21 und die Fuhrungsplatte 20 seitlich begrenzt. 
Das Modul wird auf die Hauptplatine des Meters der Frankiermaschine 
oder eines anderen geeigneten Gerates gesteckt. Es ist vorzugsweise 
innerhalb des Metergehauses untergebracht, welches als Sicherheits- 
gehause ausgebildet ist. Das Metergehause ist dabei vorteilhaft so 



konstruiert, daft der Benutzer die Statusanzeige des Sicherheitsmoduls 
trotzdem von auRen durch eine Offnung 109 sehen kann, wobei sich die 
Offnung 109 zur Bedienoberflache 88, 89 des Meters 1 erstreckt. 

Die Anzeige wird direkt vom modulinternen Prozessor gesteuert und ist so 
von aufien nicht ohne weiteres manipulierbar. Die Anzeige ist im 
Betriebszustand standig aktiv, so daft das Anlegen der Systemspannung 
Us+ an den Prozessor des Sicherheitsmoduls ausreicht, die Anzeige zu 
aktivieren, um den Modulzustand ablesen zu konnen. 

Die Figur 2 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls 
PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134 
ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der 
positive Pol der Batterie 134 ist uber die Leitung 193 mit dem einen 
Eingang des Spannungsumschalters 180 und die Systemspannung 
fuhrende Leitung 191 ist mit dem anderen Eingang des Spannungs- 
umschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL- 
389/P fur eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P fur 
eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch 
durch das PSM 100. Als Spannungsumschalter 180 kann ein handels- 
ublicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der 
Ausgang des Spannungsumschalters 180 liegt uber die Leitung 136 an 
einer Spannungsuberwachungseinheit 12 und einer Detektionseinheit 13 
an. Die Spannungsuberwachungseinheit 12 und die Detektionseinheit 13 
stehen mit den Pinsl, 2, 4 und 5 des Prozessors 120 uber die Leitungen 
135, 164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des 
Spannungsumschalters 180 liegt uber die Leitung 136 aufterdem am 
Versorgungseingang eines ersten Speichers SRAM an, der durch die 
vorhandene Batterie 134 zum nichtfluchtigen Speicher NVRAM 116 einer 
ersten Technologie wird. 

Das Sicherheitsmodul steht mit der Frankiermaschine uber den 
Systembus 115,117, 118 in Verbindung. Der Prozessor 120 kann uber 
den Systembus und ein Modem 83 in Kommunikationsverbindung mit 
einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC 
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150 vollzogen. Die postalischen Abrechnungsdaten werden in 
nichtfluchtigen Speichern unterschiedlicher Technologie gespeichert. 
Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt 
Systemspannung an. Hierbei handelt es sich urn einen nichtfluchtigen 
5 Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese 
zweiten Technologie umfalit vorzugsweise ein RAM und ein EEPROM, 
wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch 
ubernimmt. Der NVRAM 114 der zweiten Technologie ist mit den 
entsprechenden Adress- und Dateneingangen des ASIC's 150 uber einen 
10 internen Adrefi- und Datenbus 112, 113 verbunden. 

Der ASIC 150 enthalt mindestens eine Hardware-Abrecheneinheit fur die 
Berechnung der zu speichernden postalischen Daten. In der 
Programmable Array Logic (PAL) 160 ist eine Zugriffslogik fur den ASIC 
150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert. 
Ein Adrefi- und Steuerbus 117, 115 von der Hauptplatine des Meters 1 ist 
an entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 
160 erzeugt mindestens ein Steuersignal fur das ASIC 150 und ein 
Steuersignal 119 fur den Programmspeicher FLASH 128. Der Prozessor 
120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der 
Prozessor 120, FLASH 28, ASIC 12 und PAL 160 sind uber einen 
modulinternen Systembus miteinander verbunden, der Leitungen 
110,1 11,126,1 19 fur Daten-, Adreft- und Steuersignale enthalt. 

25 Die RESET-Einheit 130 ist uber die Leitung 131 mit dem Pin 3 des 
Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der 
Prozessor 120 und das ASIC 150 werden bei Absinken der 
Versorgungsspannung durch eine Resetgenerierung in der RESET- 
Einheit 130 zuruckgesetzt. 

30 

Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine 
Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 
125 auf. Der Prozessor 120 des Sicherheitsmoduls 100 ist uber einen 
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modul-internen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 
150 verbunden. Der FLASH 128 dient als Programmspeicher und wird mit 
Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte- 
FLASH-Speicher vom Typ AM29F010-45EC. Der ASIC 150 des 
postalischen Sicherheitsmoduls 100 liefert uber einen modulinternen 
Adrelibus 110 die Adressen 0 bis 7 an die entsprechenden Adreli- 
eingange des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100 
liefert uber einen internen AdreBbus 111 die Adressen 8 bis 15 an die 
entsprechenden Adresseingange des FLASH 128. Der ASIC 150 des 
Sicherheitsmoduls 100 steht uber die Kontaktgruppe 101 des Interfaces 
mit dem Datenbus 118, mit dem AdreUbus 117 und dem Steuerbus 115 
der Hauptplatine des Meters 1 in Kommunikationsverbindung. 

Der Spannungsumschalter 180 gibt als Ausgangsspannung auf der 
Leitung 136 fur die Spannungsuberwachungseinheit 12 und Speicher 116 
diejenige seiner Eingangsspannungen weiter, die grofcer als die andere 
ist. Durch die Moglichkeit, die beschriebene Schaltung in Abhangigkeit 
von der Hohe der Spannungen Us+ und Ub+ automatisch mit der 
grolieren von beiden zu speisen, kann wahrend des Normalbetriebs die 
Batterie 134 ohne Datenverlust gewechselt werden. Die Echtzeituhr RTC 
122 und der Speicher RAM 124 werden von einer Betriebsspannung uber 
die Leitung 138 versorgt. Diese Spannung wird von der Spannungsuber- 
wachungseinheit 12 erzeugt. 

Die Batterie der Frankiermaschine speist in den Ruhezeiten aufierhalb 
des Normalbetriebes in vorerwahnter Weise die Echtzeituhr 122 mit 
Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM) 
124, der sicherheitsrelevante Daten halt. Sinkt die Spannung der Batterie 
wahrend des Batteriebetriebs unter eine bestimmte Grenze, so wird von 
der Schaltung 12 der Speisepunkt fur RTC und SRAM mit Masse 
verbunden. Das heifit, die Spannung an der RTC und am SRAM liegt 
dann bei 0V. Das fiihrt dazu. daB der SRAM 124, der z.B. wichtige 
kryptografische Schliissel enthalt, sehr schnell geloscht wird. Gleichzeitig 



werden auch die Register der RTC 122 geloscht und die aktuelle Uhrzeit 
und das aktuelle Datum gehen verloren. Durch diese Aktion wird verhin- 
dert, dafi ein moglicher Angreifer durch Manipulation der Batteriespan- 
nung die frankiermaschineninterne Uhr 122 anhalt, ohne dad sicherheits- 
relevante Daten verloren gehen. Somit wird verhindert, dali er Sicher- 
heitsmaflnahmen, wie beispielsweise Sleeping Mode (EP 660 268 A2) 
oder Long Time Watchdog (wird anhand der Fig. 5 noch erlautert) umgeht. 

Die Schaltung der Spannungsuberwachungseinheit 12 ist beispielsweise 
so dimensioniert, dafi jegliches Absinken der Batteriespannung auf der 
Leitung 136 unter die spezifizierte Schwelle von 2,6 V zum Ansprechen 
der Schaltung 12 fuhrt. Gleichzeitig mit der Indikation der Unterspannung 
der Batterie wechselt die Schaltung 12 in einen Selbsthaltezustand, in 
dem sie auch bei nachtraglicher Erhohung der Spannung bleibt. Sie liefert 
aulierdem ein Statussignal 164. Beim nachsten Einschalten des Moduls 
kann der Prozessor den Zustand der Schaltung abfragen (Statussignal) 
und damit und/oder iiber die Auswertung der Inhalte des geloschten 
Speichers darauf schliefien, daft die Batteriespannung zwischenzeitlich 
einen bestimmten Wert unterschritten hat. Der Prozessor kann die 
Uberwachungsschaltung 12 zurucksetzen, d.h. "scharf" machen. Letztere 
reagiert auf ein Steuersignal auf der Leitung 135. 

Die Leitung 136 am Eingang des Batterieobservers 12 versorgt zugleich 
eine Detektions-Einheit 13 mit Betriebs- oder Batteriespannung. Vom 
Prozessor 120 wird der Zustand der Detektions-Einheit 13 uber die 
Leitung 139 abgefragt oder die Detektions-Einheit 13 wird vom Prozessor 
120 iiber die Leitung 137 ausgelost bzw. gesetzt. Nach dem Setzen wird 
eine statische Prufung auf Anschlufi durchgefuhrt Dazu wird uber eine 
Leitung 192 Massepotential abgefragt, welches am Anschluli P4 des 
Interfaces des postalischen Sicherheitsmoduls PSM 100 anliegt und nur 
abfragbar ist, wenn der Sicherheitsmodul 100 ordnungsgemafi gesteckt 
ist. Bei gesteckten Sicherheitsmodul 100 wird Massepotential des 
negativen Pols 104 der Batterie 134 des postalischen Sicherheitsmoduls 



3151-DE 



- 11 - 



PSM 100 auf den Anschlufi P23 des Interfaces 8 gelegt und ist somit am 
Anschlufl P4 des Interfaces Ciber die Leitung 192 von der Detektions- 
Einheit 13 abfragbar. 

An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen, 
welche nur bei einem, beispielsweise an die Hauptplatine des Meters 1 , 
gesteckten Sicherheitsmodul 100 eine Leiterschleife 18 bilden. Zur 
dynamischen Prufung des Angeschlossenseins des postalischen 
Sicherheitsmoduls PSM 100 an der Hauptplatine des Meters 1 werden 
vom Prozessor 120 wechselnde Signalpegel in ganz unregelmafiigen 
Zeitabstanden an die Pin's 6, 7 angelegt und uber die Schleife 
zuruckgeschleift. 

Der Prozessor 120 ist mit der Ein/Ausgabe-Einheit 125 ausgestattet, 
deren Anschlusse Pin's 8, 9 zur Ausgabe mindestens eines Signals zur 
Signalisierung des Zustandes des Sicherheitsmoduls 100 dienen. An den 
Pin's 8 und 9 liegen l/O-Ports der Ein/Ausgabe-Einheit 125, an welchen 
modulinterne Signalmittel angeschlossen sind, beispielsweise farbige 
Lichtemitterdioden LED's 107, 108. Diese signalisieren den Modulzustand 
bei einem auf die Hauptplatine des Meters 1 gesteckten Sicherheits- 
moduls 100 durch eine Offnung 109 im Metergehause. Die Sicherheits- 
module konnen in ihrem Lebenszyklus verschiedene Zustande ein- 
nehmen. So mufi z.B. detektiert werden, ob das Modul gultige 
kryptografische Schlussel enthalt. Weiterhin ist es auch wichtig zu 
unterscheiden, ob das Modul funktioniert oder defekt ist. Die genaue Art 
und Anzahl der Modulzustande ist von den realisierten Funktionen im 
Modul und von der Implementierung abhangig. 

Die Figur 3 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls 
in Seitenansicht. Das Sicherheitsmodul ist als Multi-Chip-Modul ausge- 
bildet, d.h. mehrere Funktionseinheiten sind auf einer Leiterplatte 106 
verschaltet. Das Sicherheitsmodul 100 ist mit einer harten Vergufimasse 
105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 
aufierhalb der VerguRmasse 105 auf einer Leiterplatte 106 auswech- 
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selbar angeordnet ist. Beispielsweise ist es so mit einem Vergufcmaterial 
105 vergossen, daft das Signalmittel 107, 108 aus dem Verguflmaterial 
an einer ersten Stelle herausragt und dafi die Leiterplatte 106 mit der 
gesteckten Batterie 134 seitlich einer zweiten Stelle herausragt Die 
Leiterplatte 106 hat auflerdem Batteriekontaktklemmen 103 und 104 fur 
den Anschlufi der Pole der Batterie 134, vorzugsweise auf der 
Bestuckungsseite oberhalb der Leiterplatte 106. Es ist vorgesehen, dafi 
zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die 
Hauptplatine des Meters 1 die Kontaktgruppen 101 und 102 unterhalb der 
Leiterplatte 106 (Leiterbahnseite) des Sicherheitsmoduls 100 angeordnet 
sind. Der Anwenderschaltkreis ASIC 150 steht uber die erste 
Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem Systembus einer 
Steuereinrichtung 1 in Kommunikationsverbindung und die zweite 
Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls 100 mit 
der Systemspannung. Wird das Sicherheitsmodul auf die Hauptplatine 
gesteckt, dann ist es vorzugsweise innerhalb des Metergehauses 
dergestalt angeordnet, so dafi das Signalmittel 107, 108 nahe einer 
Offnung 109 ist oder in diese hineinragt. Das Metergehause ist damit 
vorteilhaft so konstruiert, daft der Benutzer die Statusanzeige des 
Sicherheitsmoduls trotzdem von aufien sehen kann. Die beiden Leucht- 
dioden 107 und 108 des Signalmittels werden uber zwei Ausgangssignale 
der l/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert. Beide 
Leuchtdioden sind in einem gemeinsamen Bauelementegehause unter- 
gebracht (Bicolorleuchtdiode), weshalb die AbmafJe bzw. der Durchmes- 
ser der Offnung relativ klein bleiben kann und in der Grofienordnung des 
Signalmittels liegt. Prinzipiell sind drei unterschiedliche Farben darstellbar 
(rot, griin, orange), jenachdem die LED's einzeln oder gleichzeitig 
angesteuert werden. Zur Zustandsunterscheidung werden die LED's auch 
einzeln oder zusammen blinkend ggf. abwechseln blinkend gesteuert, so 
dad neun verschiedene Zustande unterschieden werden konnen, in 
welchem mindestens eine der LED's aktiviert wird. 
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In der Figur 4 ist eine Draufsicht auf das postalische Sicherheitsmodul 
dargestellt. Die Vergufcmasse 105 umgibt quaderformig einen ersten Teil 
der Leiterplatte 106, wahrend ein zweiter Teil der Leiterplatte 106 fur die 
auswechselbar angeordnete Batterie 134 von VergufJmasse frei bleibt. 
Die Batteriekontaktklemmen 103 und 104 werden hier von der Batterie 
verdeckt. 



Gemafc einer in der Figur 5 gezeigten - sich selbst erlauternden - Tabelle 
fur Statussignalisierung geht eine Vielzahl moglicher Zustandsanzeigen 
hervor. Eine griin ieuchtende LED 107 signalisiert einen OK-Zustand 220, 
aber eine Ieuchtende LED 108 signalisiert einen Fehler-Zustand 230 im 
Ergebnis eines mindestens statischen Selbsttestes. Das Ergebnis eines 
solchen an sich bekannten Selbsttestes kann wegen der direkten 
Signalisierung iiberdie LED's 107, 108 nicht verfalscht werden. 
Beispielsweise fur den Fall, dad zwischenzeitlich die im Sicherheitsmodul 
gespeicherten Schlussel verlohren gingen, wurde die laufende 
Qberpriifung im dynamischen Betrieb den Fehler feststellen und als den 
Zustand 240 mit orange leuchtenden LED's signalisieren. Nach einem 
Aus/Einschalten ist ein Booten erforderlich, da anderenfalls keine andere 
Operation mehr ausgefuhrt werden kann. Der Fall, dafi bei der Herstel- 
lung die Installation eines Schlussels vergessen wurde, wird als Zustand 
260 beispielsweise mit einer griin blinkenden LED 107 signalisiert. Auch 
der Fall, dali ein long time watchdog-Timer abgelaufen ist, wird als Zu- 
stand 250 durch eine rot blinkende LED signalisiert. Der long time 
watchdog-Timer ist abgelaufen, wenn lange Zeit die Datenzentrale nicht 
mehr kontaktiert wurde, beispielsweise um ein Guthaben nachzuladen. 
Der Zustand 250 wird ebenfalls erreicht, wenn das Sicherheitsmodul vom 
Meter getrennt wurde. Weitere Zustandsanzeigen fur die Zustande 270, 
280, 290 sind optional fur verschiedene weitere Priifungen vorgesehen. 
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Die Figur 6 zeigt eine Darstellung der Priifungen im System fur statisch 
und dynamisch anderbare Zustande. Ein ausgeschaltetes System im 
Zustand 200 geht nach dem Einschalten uber die Transition Start 201 in 
den Zustand 210 uber, in welchem vom Sicherheitsmodule ein statischer 
Selbsttest durchgefuhrt wird sobald die Betriebsspannung anliegt. Bei der 
Transition 202, bei der der Selbsttest ein OK bei ordnungsgemafcem 
Ergebnis ergibt, wird der Zustand 220 LED griin leuchtend erreicht. 
Ausgehend von letzterem Zustand ist bei Bedarf ein wiederholter 
statischer Selbsttest und ein dynamischer Selbsttest durchfiihrbar. Eine 
solche Transition 203 oder 206 fuhrt entweder zuruck auf den Zustand 
220 LED griin bei OK oder auf den Zustand 240 LED orange bei einem 
Fehler. Letzterer ist durch einen Recover-Versuch evtl. durch Ausschalten 
(Transition 211) und Wiedereinschalten des Gerates (Transition 201) 
behebbar. Statische Fehler sind aber nicht behebbar. Von Zustand 210, in 
welchem das eingeschaltete Gerat einen statischen Selbsttest ausfuhrt, 
existiert bei einem Fehler eine Transition 204 zum Zustand 230 LED rot. 
Zu jeder Zeit, wenn sich das Gerat im Zustand 220 LED gain befindet, 
kann ein on demand ausgefiihrter statischer Selbsttest bei einem Fehler 
uber eine Transition 205 zum Zustand 230 LED rot fuhren. Ausgehend 
vom Zustand 220 LED griin konnen nicht gezeigte weitere Transitionen 
207, 208, 209 zu den weiteren Zustanden 270 (mit orange blinkenden 
LED's signalisiert), 280 (mit rot leuchtend/orange blinkenden LED's 
signalisiert) und 290 (mit griin leuchtend/orange blinkenden LED's 
signalisiert) fiihren. 

Der - in der Figur 2 gezeigte - Sicherheitsmodul 100 ist mit einem 
Programmspeicher 128, der ein Programm zur Sicherung der Postregister 
vor Manipulation aufweist, einer ersten und zweiten Datenverarbeitungs- 
einheit 120, 150, mit nichtfluchtigen Speichern 114, 116, mit weiteren 
miteinander verschalteten Funktionseinheiten 12, 13, 130, 160 und 180 
verbunden, wobei samtliche vorgenannte Funktionseinheiten mit einer 
Verguflmasse 105 bedeckt sind, auBer die Batterie 134 (Figuren 3 und 4). 
Im Sicherheitsmodul 100 ist die erste Datenverarbeitungseinheit 120 der 



Modulprozessor. Letzterer ist fur die Durchfuhrung von mindestens einer 
Authorisierungsroutine fur die Postregisterdaten programmiert, wobei 
deren Authorisierung in Verbindung mit dem zugehorigen Authori- 
sierungscode MAC im nichtfluchtigen Speichern 114, 116 einen Modul- 
zustand signalisiert, welcher eine weitere Abrechnung durchzufuhren 
gestattet, und wobei zur Signalisierung des Modulzustandes ein optisches 
oder akustisches Signalmittel 107, 108 am Modulprozessor angeschlos- 
sen ist. Die erste Datenverarbeitungseinheit 120 kann fiir die Durch- 
fuhrung zusatzlicher Sicherungsroutinen in Verbindung mit weiteren mit- 
einander verschalteten Funktionseinheiten 12, 13 programmiert sein. Das 
Signalmittel 107, 108 wird zur Zustandsunterscheidung entsprechend 
angesteuert. Ein separates Sicherheitsgehause, dali nahe an derVerguft- 
masse 105 und ringsherum angeordnet ist, kann eingespart werden, wenn 
das Meter bereits ein Sicherheitsgehause aufweist, d.h. dad das umge- 
bende Sicherheitsgehause Bestandteil eines Meters 1 ist. Das Signal- 
mittel 107, 108 ragt in demjenigen Bereich des Sicherheitsmoduls 100 
durch das Vergulimaterial 105 hindurch, wo das umgebende Meter- 
gehause zur Signalisierung des Modulzustandes eine Offnung 109 auf- 
weist, welche .sich zur Bedienoberflache 88, 89 des Meters 1 erstreckt. 
Die Abmade bzw. der Durchmesser der Offnung liegen in der Grolienord- 
nung des Signalmittels, welches zum Beispiel als Anzeigeeinheit realisiert 
ist. Eine solche Anzeigeeinheit kann eine oder mehrere oder mehrfarbige 
Leuchtdioden (LED's) einschliefcen. Letztere konnen zur Zustandsunter- 
scheidung auch blinkend gesteuert werden. Wenn die Leuchtdioden 
LED's 107, 108 zur Zustandsunterscheidung gleichzeitig angesteuert 
werden, hat deren emittiertes sichtbares Licht eine kombinierte Farbe 
(beispielsweise Orange), die im Ergebnis der Authorisierungsroutine beim 
dynamischen Selbsttest einen Fehler signalisiert. 

Die in der Figur 2 gezeigten Speicher 114 und SRAM 116 werden 
nachfolgend zur Vereinfachung mit NVRAM_A bezeichnet. Im NVRAM_A 
sind zum Zeitpunkt t beispielsweise Ascending-, Descending-, Stiickzahl- 
und weitere Daten gegeben, die fur zukunftige Abrechnungen genutzt 
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werden sollen. Vereinfachend wird die Zusammenfassung der vorgenann- 
ten Daten auch als P'« = Postregistersatz bezeichnet. Dabei bedeutet das 
Zeichen „• „ hinter dem Buchstaben P, daft dieser Postregistersatz vom 
ASIC 150 berechnet wurde. Jeder Postregistersatz wird aufterdem mit 
5 einem MAC abgesichert, welcher vom Modulprozessor 120 berechnet 
wurde und ebenfalls im NVRAM_A gespeichert vorliegt. 

Der in der Figur 2 gezeigte batteriegestutzte statische RAM 124 des OTP- 
Prozessorbausteins 120 wird nachfolgend mit NVRAM_P bezeichnet, weil 

o OTP-intern nichtfluchtig gespeicherten Daten nicht von auften lesbar sind. 
Eine von der Batterie 134 uber den Umschalter 180 und uber die 
Spannungsuberwachungseinheit 12 gelieferte Spannung Ub+ ist auf der 
Leitung 138 standig verfugbar und versorgt den OTP-internen Speicher 
RAM 124, der dadurch Daten nichtfluchtig speichern kann. Ein bereits 

1 5 fruher eingegebener Portowert bleibt somit nichtfluchtig gespeichert, bis er 
uberschrieben wird. Gegeben sei deshalb zum Zeitpunkt t, im NVRAM_A 
Oder NVRAM_P ein Portowert p^, der fur zukunftige Abrech-nungen 
genutzt werden kann. Eine Abrechnung P t(i+1) = F(P' t(M) , pj = P ne u 
bedeutet, daft zum Zeitpunkt t M bereits ein Postregistersatz vorlag, der 

20 berucksichtigt wird, wenn Zeitpunkt ti ein Portowert Pti eingegeben wird 
und daft die Abrechnung nach der Funktion F zum Zeitpunkt t i+1 vom 
Modulprozessor 120 vorgenommen wurde. Anderenfalls bedeutet eine 
Abrechnung P' t(i+1) = F'(P' t( ,i>. Pti ), daft die Abrechnung nach der Funktion 
F' zum Zeitpunkt t i+1 von der Hardwareabrecheneinheit des ASIC's 150 

25 vorgenommen wurde. 

Zur Authorisierungsprtifung an einem beliebigen Zeitpunkt % konnen die 
Daten des Postregistersatz aus einem NVRAM_A verwendet werden, urn 
einen MAC vom Postregistersatz zu bilden. Wenn der Ausdruck MAC(P ti ) 
aber kein Zeichen „' „ hinter dem Buchstaben P hat, dann bedeutet dies, 

30 daft dieser Postregistersatz und MAC vom Modulprozessor 120 zum 
Zeitpunkt % berechnet wurde. Der Mikroprozessor kann im NVRAM_P 
erforderlichenfalls sofort berechnen: 
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P t(i+1) = Postregistersatz zum Zeitpunkt t^ 
MAC(P t{i+1) ) = MAC vom Postregistersatz zum Zeitpunkt t^ 

Die Figur 7 zeigt eine Darstellung von Ablaufen bei der Abrechnung 
anhand eines Zeitstrahles. Die Eingabe eines neuen Portowertes oder 
eine Briefanlage bildet den Ausgangspunkt to fur eine Anzahl an Ablaufen. 
Bei Briefanlage kann auch von der Weiterverwendung eines bereits 
eingegebenen Portowertes als neuen Portowert ausgegangen werden. 
Zunachst wird vom Modulprozessor 120 aus dem NVRAM_A ein MAC aIt 
geholt und definiert durch den Zeitpunkt to als MAC(P to ) im NVRAM_P 
gespeichert. Zugleich werden die P' ti -Registerdaten zu einem MAC 
verarbeitet, wobei das Ergebnis spatestens zum Zeitpunkt t, vorliegt und 
ebenfalls im NVRAM_P zwischengespeichert wird. Dann wird der zum 
Zeitpunkt t, vorliegende MAC(P' t0 ) mit dem MAC(P to ) verglichen. Bei 
Ubereinstimmung liegt kein Fehler vor und es wird vom Modulprozessor 
120 das Ende der Eingabe zum Zeitpunkt t 2 abgewartet. Der Modulpro- 
zessor 120 stofit zum Zeitpunkt t 2 eine Vorausberechnung eines neuen 
Postregistersatzes P^ und eine weitere Bildung eines neuen MAC an, 
wobei der Wert des MAC neu gespeichert wird. Der Vorgang ist zum 
Zeitpunkt t 3 abgeschlossen und nun wird eine an sich bekannte 
Abrechnung und Bildung eines neuen Postregistersatzes vom ASIC 150 
vorgenommen. Wahrend der Postregistersatz P' t3 gebildet wird, liegen 
zwei MAC's gespeichert vor, namlich MAC aIt = MAC(P t0 ) und der 
vorausberechnete MAC neu = MACfP^). Davor gilt noch der alte MAC aU 
und bei Spannungsausfall kann auf die vorherigen Daten zuriickgegriffen 
werden, welche im NVRAM_A gespeichert vorliegen. Die Abrechnung 
wird dann vollstandig wiederholt. Somit ergibt sich fur einen eventuellen 
Manipulator zu keinem Zeitpunkt eine Falschungsmoglichkeit. Ist der 
Postregistersatz P' t3 zum Zeitpunkt t 4 vom ASIC berechnet worden, dann 
erfolgt ein Loschen bzw. Uberschreiben des alten MAC(P t0 ) mit dem 
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neuen MACfP^) und ein Speichern des neuen Registersatzes P' t3 im 
NVRAM_A. Letzterer Vorgang ist zum Zeitpunkt t 5 abgeschlossen. 

Anhand des - in der Figur 8 dargestellten - Flufidiagramms werden nun 
die Priifungen naher erlautert, welche im System vor dem Frankieren 
ablaufen. Der Mikroprozessor CPU 121 ist durch ein entsprechendes im 
Flash 128 gespeichertes Programm programmiert, solche vorgenannten 
Selbsttests auszufuhren, wobei nach dem Start 299, in einem ersten 
Schritt 300 ein Power on-Selbsttest durchgefuhrt und dann im Schritt 301 
gefragt wird, ob der Power on-Selbsttest ein OK ergeben hat. Ist das der 
Fall, so wird im Schritt 302 die grune LED 107 vom Mikroprozessor CPU 
121 uber ein l/O-Port 125 leuchtend gesteuert. Anderenfalls wird im 
Schritt 303 die rote LED 108 vom Mikroprozessor CPU 121 uber ein l/O- 
Port 125 leuchtend gesteuert. 

Vom Schritt 302 wird auf die Abfrage 304 verzweigt, in welcher geprtift 
wird, ob eine weitere statische Priifung verlangt wird. Ist das der Fall, so 
wird zum Schritt 300 zuruckverzweigt. Anderenfalls wird auf die Abfrage 
305 verzweigt, in welcher gepruft wird, ob durch einen Briefsensor eine 
Briefanlage festgestellt bzw. vom Modulprozessor 120 eine Eingabe einen 
neuen Portowertes erkannt wird. Ist dies beides nicht der Fall, dann wird 
auf den Schritt 302 zuruckverzweigt und somit eine Warteschleife solange 
durchlaufen, bis eine Briefanlage/Neueingabe festgestellt worden ist. Im 
letzteren Fall wird auf den Schritt 306 verzweigt, urn das Eingeben der 
Daten zu beenden. Gleichzeitig oder kurz nach dem Zeitpunkt t^ begin- 
nend, wird ein Schritt 307 zur MAC-Berechnung auf der Grundlage der 
zum Zeitpunkt t^ verfugbaren Postregisterdaten P' to gestartet. Ein vom 
OTP bereits fruher gebildeter MAC(P to ) ist zum Zeitpunkt tg gultig. Die 
MAC-Berechnung ist zum Zeitpunkt t, abgeschlossen. Der berechnete 
MAC(P' t0 ) wird mit dem alten zum Zeitpunkt ^ gultigen (vom OTP bereits 
fruher gebildeten) MAC(P t0 ) zum Zeitpunkt t, im Schritt 308 verglichen. 
Bei Nichtubereinstimmung wird zum Schritt 315 verzweigt, urn die LED's 
107, 108 orange leuchtend zu steuern. Anderenfalls wird zu den Schritten 
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309, 310 verzweigt. Dort erfolgt zum Zeitpunkt t 2 im OTP 120 eine Vor- 
ausberechnung des neuen Postregistersatzes P# und anschliefcend eine 
MAC-Bildung, ggf. mit Speicherung des MAC(P t2 ) im NVRAM_P. 
Zum Zeitpunkt t 3 wenn im Schritt 311 die Speicherung des MAC(P l2 ) im 
NVRAM_P von der einen Datenverarbeitungseinheit 120 abgeschlossen 
worden ist, wird vom anderen Datenverarbeitungseinheit, namlich von 
einer - nicht gezeigten - Hardware-Abrecheneinheit im ASIC 150 eine 
Berechnung des neuen Postregistersatzes im Schritt 312 durchgefuhrt. 
In einem abschliefienden Schritt 313 erfolgt wieder eine Abspeicherung 
der Ergibnisse P' t3 und MACCP^) im NVRAM_A. In Vorbereitung eines 
Frankierens konnen dann noch eine Anzahl von weiteren Schritten 
durchlaufen werden, mindestens jedoch ein Schritt 314 Druckdaten- 
bereitstellung zum Frankieren des Briefes. Anschliefiend wird zum Schritt 
302 zuruckverzweigt. 

Der Schritt 314 mit Druckdatenbereitstellung zum Frankieren kann 
optional einen - nicht gezeigten - Subschritt zum Ubermitteln eines 
generierten Sicherheitscodes.einschliefJen. Zum Generieren des Sicher- 
heitscode wird zwar ebenfalls eine prinzipiell vergleichbare Bildungs- 
prozedure genutzt, wie bei der MAC-Bildung, der Daten-Authorisierungs- 
Code DAC setzt sich aber aus anderen Daten zusammen und das 
Generieren erfolgt zu einem anderem Zeitpunkt t i+1 ab Dateneingabeende 
zu einem Wert DAC(P t(j+1) ,sonstige Daten). 

Der Modulprozessor 120 arbeitet mit einem - nicht gezeigten - 
Steuerungsprozessor des Meters zusammen, wobei letzterer den 
Sicherheitscode empfangt, die Druckdaten zusammenstellt und zum 
Druckkopf ubermittelt. 

Dadurch, dafi nach dem Abspeichern der Ergebnisse zum Schritt 302 
zurtickgezweigt wird, ergibt sich on demand eine zweistufige Prtifung. Im 
Fehlerfall im Ergebnis der dynamischen Prufung werden im Schritt 309 
beide, die grtine LED 107 und die rote LED 108, vom Mikroprozessor 



CPU 121 uber ein l/O-Port 125 leuchtend gesteuert. Somit ergibt sich der 
Gesamteindruck, dafi die LED's orange leuchten. 

Die in der Figur 8 auf der rechten Halfte des Fludplanes vermerkten 
Zeitpunkte ^ bistj sollen helfen, einen Bezug zur Figur 7 herzustellen. 
Damit sollen alternative Ablaufe jedoch nicht ausgeschlossen werden. Die 
Vorausberechnung mu(J nicht nach einer Authorisierungsuberprtifung er- 
folgen. Ebensogut kann zuerst ein neuer Postregistersatz Py vom Modul- 
prozessor 120 vorausberechnet werden, wobei ein bereits eingegebener 
gespeicherter Portowert p t berticksichtigt wird. Erst danach wird vom Mo- 
dulprozessor 120 eine Authorisierungsuberprtifung beziiglich des alten im 
Speicher NVRAM_A gespeicherten Postregistersatzes P' ti _i vorgenorn- 
men, wobei ein Authorisierungscode MAC(P , t(i . 1) ) vom Modulprozessor 
gebildet und mit einem zugehorigen im Speicher NVRAM_A gespeicher- 
ten bisherigen Authorisierungscode MAC aIt = MACfP^..,) ) verglichen wird. 
Nach der Authorisierungsuberprtifung berechnet der Modulprozessor 120 
einen neuen Authorisierungscode MAC neu = MAC(P ti ) uber den neuen 
Postregistersatz P^. Der neue Postregistersatz P fi bleibt bis zur MAC- 
Berechnung im OTP-internen NVRAM_P gespeichert. Das ist wichtig, um 
eine Manipulation wahrend der Berechnung zu verhindern, insbesondere 
wenn die Vorausberechnung des neuen Postregistersatz P ti und des 
neuen MAC'S zeitlich auseinander liegen. 

Im NVRAM_A konnen . zu einem Zeitpunkt tj also folgende Daten 
gespeichert sein: 
PVi - bisheriger Postregistersatz, der vom ASIC berechnet wurde, 
MAC(P ti . 1 ) - zugehoriger MAC a , t uber einen gleichen Postregistersatz, 
der beim vorherigem Abrechnen vom Modulprozessor vor- 
ausberechnet wurde. 

Im Speicher NVRAM__P speichert die erste Datenverarbeitungseinheit, 
vorzugsweise der Modulprozessor 120, zu dem ersten Zeitpunkt ^ 
gegebenenfalls folgende Daten: 
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MAC(P ti ) = MAC neu 

Von der zweiten Datenverarbeitungseinheit, vorzugsweise vom ASIC 150, 
wird zu einem spateren zweiten Zeitpunkt t^ die Abrechung mit einem 
Portowert p ti nach der Abrechnungsfunktion F' durchgefuhrt. Es erfolgt: 

1. Bilden des Postregistersatzes P' t0+1) = F'( P' t(M ) ■ Pti) m 't anschliefiender 
Speicherung im Speicher NVRAM_A. 

2. Auflerdem uberschreibt der Modulprozessor 120 den im NVRAM_A 
gespeicherten MAC(P tM ) aIt mit dem vorausberechneten im NVRAM_P 
gespeicherten MACCPu)^ . 

3. Optional ubermittelt der Modulprozessor 120 einen zusatzlich 
generierten Sicherheitscode DAC(P t(i+1) ,sonstige Daten) zur extern vom 
Sicherheitsmodul im Meter angeordneten dritten Daten- 
verarbeitungseinheit (nicht gezeigt) zur Druckbilderzeugung. 

Vor dem nachsten Frankieren wiederholt sich der Vorgang. Bis zum 
Zeitpunkt t i+2 wird ein neuer Portowert p tj+2 eingegeben. Zum Zeitpunkt %+ 2 
oder spater kann wieder die Manipulationsfreiheit von PVi) gepruft 
werden, indem MAC(P' t(i+1) ) berechnet und mit dem im NVRAM_A 
gespeicherten Wert MAC(P tj ) alt verglichen wird. Es kann aber auch schon 
optional eine Generierung eines zusatzlichen Sicherheitscodes 
MAC(P t(i+1)f sonstige Daten) begonnen werden. Vor der eigentlichen 
Abrechnung durch den ASIC 150 erfolgt wieder eine MAC- 
Vorausberechnung durch den Modulprozessor. Zum Beispiel errechnet 
der Modulprozessor im Zeitpunkt t j+3 einen neuen Authorisierungscode: 
MAC neu = MAC(P t(i+3) ) = MAC[ F( P^ 1)t p t(j+2) )]. 

Erfindungsgemafl ist in einer Subvariante vorgesehen, dafi der aufgrund 
des vorausberechneten neuen Postregistersatzes gebildete zugehorigen 
Authorisierungscode MAC neu nach seiner Erzeugung in einem Bereich 
des nichtfluchtigen Speichers 114, 116 (NVRAM_A fur die Postregister- 
daten) gespeichert wird. Alternativ oder zusatzlich kann der aufgrund des 
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vorausberechneten neuen Postregistersatzes gebildete zugehorigen 
Authorisiemngscode MAC neu nach seiner Erzeugung in einem Bereich 
des internen nichtfliichtigen Speichers 124 (NVRAM_P) der ersten 
Datenverarbeitungseinheit 1 20 (Modulprozessor) gespeichert werden. 
Es ist in einer Subvariante vorgesehen, dali in Verbindung mit der 
Speicheaing des von der zweiten Datenverarbeitungseinheit 150 (ASIC) 
ermittelten neuen Postregistersatzes P' t(i+1) und des vorausberechneten 
neuen Authorisierungscode MAC(P ti ) neu in den nichtfliichtigen Speichern 
114, 116 (NVRAM_A) letzterer Authorisierungscode in einem weiteren 
Bereich des internen nichtfliichtigen Speichers 124 (NVRAM_P) der 
ersten Datenverarbeitungseinheit 120 (Modulprozessor) gespeichert wird, 
so daft der zu dem neuen Postregistersatz zugehorige Authorisierungs- 
code bis zur nachsten Abrechnung redundant gespeichert ist. 

Erfindungsgemafi ist das Sicherheitsmodul zum Einsatz in postalischen 
Geraten bestimmt, insbesondere zum Einsatz in einer Frankiermaschine. 
Jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen,- 
die es ermdglicht, dafi es beispielsweise auf die Hauptplatine eines 
Personalcomputers gesteckt werden kann, der als PC-Frankierer einen 
handelsublichen Drucker ansteuert. 

Die Erfindung ist nicht auf die vorliegenden Ausfuhrungsform beschrankt, 
da offensichtlich weitere andere Anordnungen bzw. Ausfuhrungen der 
Erfindung entwickelt bzw. eingesetzt werden konnen, die - vom gleichen 
Grundgedanken der Erfindung ausgehend - von den anliegenden 
Schutzanspruchen umfalit werden. 



3151-DE 



- 23 - 



Zusammenfassung 

Die Erfindung betrifft ein Sicherheitsmodul mit einer ersten und zweiten 
Datenverarbeitungseinheit (120, 150), mit nichtfluchtigen Speichern (114, 
116) fur Postregisterdaten und Verfahren zur Sicherung der Postregister- 
daten vor Manipulation. Zu einem ersten Zeitpunkt t if mindestens nach 
Briefanlage und nach einer Uberpriifung der bisher gultigen Abrech- 
nungsdaten anhand eines Authorisierungscodes MAC aIt , nimmt die erste 
Datenverarbeitungseinheit (120) eine Vorausberechnung des neuen 
Postregistersatzes vor, der sich unter Berucksichtigung des zuvor 
eingestellten Portowertes ergibt, und bildet einen neuen Authorisierungs- 
code MAC neu . Zu einem zweiten Zeitpunkt t i+1 , nimmt die zweite 
Datenverarbeitungseinheit (150) eine Abrechnung mit Berechnung des 
neuen Postregistersatzes vor, der sich unter Berucksichtigung des 
eingestellten Portowertes ergibt. Abschliefiend erfolgt eine Speicherung 
des vorausberechneten neuen Authorisierungscode MAC neu und des von 
der zweiten Datenverarbeitungseinheit (150) ermittelten neuen 
Postregistersatzes in den nichtfluchtigen Speichern (114, 116). 

Fig. 7 



MAC(P't 0 ) = MAC(P to ) 



MAC aIt = MAC(P to ) 
bei Briefanlage 
od. PW-Eingabe 



MAC(P' to ) 



Ende der 
Eingabe 



Portowert Eingabe 



im OTP: 



Berechnung 

Pa-Post- 

registersatz, 

MAC„eu = 

MAC(Pa) 
bilden und 
speichern 



im ASIC: 



Berechnung 
des neuen 
P'o = Post- 
registersatz 



MAC„eu im 
NVRAM P 



MAC 

NVRAM-A 

gespeichert 



im NVRAM_A: 

Loschen bzw. 

Uberschreiben 
d. alten MAC(P t0 ) 

mit dem neuen 

MAC(P t2 ) und 

Speichern 

des neuen 

P' t3 -Satzes 



to 

Fig. 7 



ti 



t 2 = ti 



t 3 = t; 



i+1 



U = tj 



i+2 



3151-DE 



- 24 - 



Patentanspruche 

LSicherheitsmodul zur Sicherung der Postregister vor Manipulation, mit 
einem Programmspeicher (128), einer ersten und zweiten Datenver- 
arbeitungseinheit (120, 150), mit nichtfluchtigen Speichern (114, 116), 
welche operativ miteinander verbunden sind, um mindestens die zweite 
Datenverarbeitungseinheit (150) zu veranlassen, die Abrechnung 
durchzufuhren und um in dem nichtfluchtigen Speicher (114, 116) die 
Postregisterdaten zu speichern .gekennzeichnet dadurch, 
da(i die erste Datenverarbeitungseinheit (120) einen internen 
nichtfluchtigen Speicher (124) aufweist, in welchem mindestens ein 
Schlussel fur die Berechnung eines Authorisierungscodes vor einem 
Zugriff geschutzt gespeichert ist, und wobei die erste Daten- 
verarbeitungseinheit (120) durch ein Programm im Programmspeicher 
(128) programmiert ist: 

- einen Postregistersatz vorauszuberechnen, 

- einen zugehorigen Authorisierungscode (MAC) uber den 
vorausberechneten Postregistersatz zu bilden und 

den vorausberechneten Authorisierungscode (MAC) zusammen mit 
den im Ergebnis der Abrechnung gebildeten Postregisterdaten im 
nichtfluchtigen Speicher (114, 116) zu speichern. 
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2. Sicherheitsmodul, nach Anspruch 1, gekennzeichnet da - 
d u r c h, da(i die erste Datenverarbeitungseinheit ein Modulprozessor 
(120) ist, welcher programmiert ist, einen neuen Postregistersatz ent- 
sprechend des eingegebenen oder bereits gespeicherten Portowertes 
vorauszuberechnen und dariiber einen zugehorigen Authorisierungscode 
(MAC) zu bilden. 

3. Sicherheitsmodul, nach den Ansprtichen 1 und 2, gekennzeich- 
net dadurch, dafc die erste Datenverarbeitungseinheit (120) als 
Modulprozessor des Sicherheitsmoduls (100) fur die Durchfuhrung von 
mindestens einer Authorisierungsroutine fur die Postregisterdaten 
programmiert ist, wobei deren festgestellte Authorisierung in Verbindung 
mit dem zugehorigen Authorisierungscode (MAC) im nichtfluchtigen 
Speichern (114, 116) einen Modulzustand signalisiert, welcher eine 
weitere Abrechnung durchzufuhren gestattet, und wobei zur 
Signalisierung des Modulzustandes ein optisches oder akustisches * 
Signalmittel (107, 108) am Modulprozessor (120) angeschlossen ist. 

4. Sicherheitsmodul, nach den Ansprtichen 1bis3, gekennzeich- 
net dadurch, dafi die erste Datenverarbeitungseinheit (120) als 
Modulprozessor des Sicherheitsmoduls (100) fur die Durchfuhrung 
zusatzlicher Sicherungsrqutinen in Verbindung mit weiteren miteinander 
verschalteten Funktionseinheiten (12, 13) programmiert ist und dali zur 
Signalisierung des Modulzustandes ein optisches oder akustisches 
Signalmittel (107, 108) am Modulprozessor angeschlossen ist und von 
dem das Signalmittel (107, 108) zur Zustandsunterscheidung 
entsprechend unterschiedlich angesteuert wird. 
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5. Sicherheitsmodul, nach Anspruch 4, gekennzeichnet da - 
d u r c h, dafi das Signalmittel (107, 108) in demjenigen Bereich des 
Sicherheitsmoduls (100) durch eine Vergulimasse (105) hindurchragt, wo 
das umgebende Sicherheitsgehause zur Signalisierung des Modulzustan- 
des eine Offnung (109) aufweist, dafi das umgebende Sicherheitsge- 
hause Bestandteil eines Meters (1) ist und sich die Offnung (109) zur 
Bedienoberflache (88, 89) des Meters (1) erstreckt, wobei die Abmafie 
bzw. der Durchmesser der Offnung in der Grofienordnung des 
Signalmittels liegen. 

6. Sicherheitsmodul, nach einem derAnspruche 1 bis 5, gekenn- 
zeichnet da durch, dafi das Signalmittel als Anzeigeeinheit 
realisiert ist. 

7. Sicherheitsmodul, nach Anspruch 6, gekennzeichnet da-* 
durch, dafi die Anzeigeeinheit eine oder mehrere oder mehrfarbige 
Leuchtdioden (LED's) einschlieBt. 

8. Sicherheitsmodul, nach Anspruch 7, gekennzeichnet da- 
durch, dali die Leuchtdioden LED's (107, 108) zur Zustandsunter- 
scheidung blinkend gesteuert werden. 

9. Sicherheitsmodul, nach Anspruch 7, gekennzeichnet da - 
durch, dafi die Leuchtdioden LED's (107, 108) zur Zustandsunter- 
scheidung gleichzeitig angesteuert werden, wobei deren emittiertes sicht- 
bares Licht eine kombinierte Farbe hat, die im Ergebnis der Authori- 
sierungsroutine beim dynamischen Selbsttest einen Fehler signalisiert. 
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10. Verfahren zur Sicherung der Postregister vor Manipulation, mit einer 
Authorisierungscode-Berechnung und Abrechnung durch eine erste und 
eine zweite Datenverarbeitungseinheit eines Sicherheitsmoduls, 
gekennzeichnet durch die Schritte: 

- Vorausberechnung des neuen Postregistersatzes (P fi ) mittels der ersten 
Datenverarbeitungseinheit (120), zu einem ersten Zeitpunkt ft) 
mindestens nach Briefanlage, wobei sich der neue Postregistersatz unter 
Beriicksichtigung des zuvor eingestellten Portowertes (p tM ) ergibt, und 
Bilden eines neuen Authorisierungscodes (MAC(P ti ) neu ) nach einer 
Authorisierungsuberprufung des bisher gultigen Postregistersatzes aus 
einer vorhergehenden Abrechnung mittels eines bisher zugeordneten 
Authorisierungscodes (MAC alt ), 

- Abrechnung mit Berechnung des neuen Postregistersatzes (P' t0+1) ) zu 
einem zweiten Zeitpunkt (t i+1 ), mittels der zweiten Datenverarbeitungs- 
einheit (150), wobei sich der neue Postregistersatz unter Berucksichti- 
gung des eingestellten Portowertes ( ti ..,) ergibt, und 

- Speicherung des vorausberechneten neuen Authorisierungscode 
(MAC(P ti ) neu ) und des von der zweiten Datenverarbeitungseinheit (150) 
ermittelten neuen Postregistersatzes (P' t(i+1) ) in den nichtfluchtigen 
Speichern (114, 116). 



11. Verfahren, nach Anspruch 10, gekennzeichnet dadurch, 
dad der aufgrund des vorausberechneten neuen Postregistersatzes (P tj ) 
gebildete zugehorigen Authorisierungscode ( MAC(P ti ) neu ) nach seiner 
Erzeugung in einem Bereich des nichtfluchtigen Speichers (114, 116) fiir 
die Postregisterdaten gespeichert wird. 



12. Verfahren, nach Anspruch 10. gekennzeichnet dadurch, 
dafi der aufgrund des vorausberechneten neuen Postregistersatzes (P ti ) 
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gebildete zugehorigen Authorisienjngscode ( MAC(P ti ) neu ) nach seiner 
Erzeugung in einem Bereich des internen nichtfluchtigen Speichers (124) 
der ersten Datenverarbeitungseinheit (120) gespeichert wird. 



13. Verfahren, nach Anspruch 10, gekennzeichnet dadurch, 
da(i in Verbindung mit der Speicherung des von der zweiten Datenver- 
arbeitungseinheit (150) ermittelten neuen Postregistersatzes (P' t ( i+1 )) und 
des vorausberechneten neuen Authorisienjngscode ( MAC(P ti ) neu ) in den 
10 nichtfluchtigen Speichern (114, 116) letzterer Authorisienjngscode in 
einem weiteren Bereich des internen nichtfluchtigen Speichers (124) der 
. • ersten Datenverarbeitungseinheit (120) gespeichert wird, so daft der zu 

dem neuen Postregistersatz zugehorige Authorisienjngscode bis zur 
nachsten Abrechnung redundant gespeichert ist. 

15 



14. Verfahren, nach einem der Anspruche 10 bis 13, gekennzeich- 
net dadurch, dafi ein Modulprozessor (120) den in den nichtfluchtigen 
Speichern (114, 116, NVRAM_A) gespeicherten alten Authorisierungs- 
20 code ( MAC alt ) mit dem im internen Speicher (124, NVRAM_P) gespei- 
cherten vorausberechneten neuen Authorisienjngscode (MAC(P tj ) neu ) 
uberschreibt. 



25 15. Verfahren, nach den Anspriichen 10 bis 14, gekennzeichnet 
dadurch, dali der Modulprozessor (120) einen zusatzlichen Sicherheits- 
code MAC(P t(j+1)t sonstige Daten) generiert und zur extern vom 
Sicherheitsmodul erfolgenden Druckbilderzeugung ubermittelt. 
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